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(54) Procede de detection de fraude dans le palement par carte a pre-palemenL 

(57) UlnventJon conceme un procede de detection de 
frauds dans le paiemerrt par carte a pre-paiement dans le- 
quel un ou plusleurs terminaux de palement sont en liaison 
avec un organs central de collects d*fnformatfon, ces terml- 
naux etant suscsptibies de debitor des unites corrsspon- 
dant au nombre cr unites consommees dans chaque carte 
effectuant une transaction. 

Selon P invention on etablit un modeJe canactsrtsant las 
consommatJons pour chaque type de terminal de palement; 
chaque terminal de palement est apte a effectuer des me- 
sures de consommatlon |oumallera$ comprenant 

- la determination du volume cPunites consommees, 

- la determination du nombre de transactions effectuees, 

- la determination de Pecart- type pour la distribution des 
consommations; en fin de Joumee, chaque terminal de 
paismsnt est apte transmettre ces mesures a Porgane cen- 
tral; Forgane central les compare aux modeles etablls et, 
en fbnction de critares preetablis detects des anomalies. 

Application au palement par ports-mormaie electionlque. 
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PROCEDE DE DETECTION DE FRAUDE DANS LE PAIEMENT PAR 
CARTE A PRE-PAIEMENT. 

L' invention concerne un procede de detection de 
fraude dans le paiement par carte a pre-paiement avec 
lesquelles on peut realiser des transactions 
financieres (debit - credit) en ^change de biens ou de 
services. 

L' invention trouve une application privilegiee dans 
ce qu'il est convenu d'appeler le paiement 
electronique. Dans de telles transactions les cartes 
constituent des "porte-monnaie" §lectroniques. 

En effet, de nombreux biens ou services peuvent 
etre obtenus par paiement a partir de terminaux de 
distribution de biens de consommation ou de services 
et/ou de terminaux de paiement au moyen de cartes a 
pre-paiement dites "porte-monnaie" electroniques. De 
telles cartes comportent pour cela dans une memoire de 
type EPROM ou EEPROM des "unites de consommation" , au 
sens large du terme. 

A chaque transaction effectufee par le titulaire 
d'une telle carte, des unites correspondant au montant 
de la transaction sont debitees en consequence. Le 
terminal de paiement aupres duquel est r§alis§e la 
transaction est credite du montant correspondant. 

Les terminaux et les cartes sont generalement 
equipes de moyen permettant de realiser des echanges en 
toute securite. Ces echanges ont pour objet notamment 
de realiser une mise a jour des soldes respectifs a 
chaque transaction realisee. 

D' autre part les terminaux de paiement sont relies 
de fagon directe ou non a un organe central de collecte 
d' informations egalement appele systfeme emetteur. 
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Cet organe est appele emetteur car c'est lui qui, 
via des mater iels de rechargement specif iques charge et 
fournit les cartes a des organismes autorises ou a des 
utilisateurs. 

5 Cet organe permet en outre periodiquement de 

recueillir toutes les tansactions operees sur chaque 
terminal, les unes apres les autres. Cette collecte 
permet en particulier de mettre S jour les comptes des 
commergants ou fournisseurs de services possedant un 

10 terminal de paiement, en portant sur leur compte les 
differentes transactions enregistrees par leur 
terminal* 

Dans toute la suite de la description on parlera de 
terminal de paiement pour definir tout systeme & 

15 paiement par carte a pre-paiement, qu'il s'agisse de 
publiphones, de distributeurs de billets de transport, 
d' automates de toutes sortes ou de terminaux places 
chez des commergants. 

II est clair que l'utilisation de "porte-monnaie" 

20 electroniques n'est possible que si certaines 
conditions sont remplies : la securite de l'echange 
porte-monnaie/terminal, terminal/organe central doit 
etre totale, les cartes doivent etre inf alsif iables et 
enfin les faux porte-monnaie doivent etre impossibles S 

25 fabriquer* 

C'est pourquoi on a recours a la technologie des 
cartes a microcalculateur car elle emploie des 
composants specialement congus pour offrir un tres haut 
niveau de securite. Ces composants sont constitues 

30 d'une puce "mono-chip" comprenant un microprocesseur 
avec ses programmes, ses memoires et ses moyens 
d' entree-sortie. Memoires et moyens d' entree-sortie 
sont sous le controle du microprocesseur et de son 
programme, lequel ne peut etre modi fie exterieurement. 
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Par ailleurs, la securite des echanges s'appuie sur 
des techniques classiques en securite informatique. II 
s'agit de garantir 1' integrity et 1' authenticity du 
message envoye par la carte debitrice et le terminal 

5 crediteur et/ou entre le terminal et 1'organe central. 
On peut citer a titre d'exemple la procedure decrite 
dans 1' article de P. REMERY, J.C. PAILLES, F. LAY 
intitule "le paiement electronique" publie dans la 
revue "L'echo des Recherches", n° 134; 4eme trimestre 

10 1988, pages 15 , 24. 

On pourra ega lenient se reporter a la demande de 
brevet FR 91 00680 publiee sous le numero 2 671 889 
dans laquelle un perf ectionnement a la procedure 
precedemment citee a ete deer it* Ce perf ectionnement 

15 consiste a utiliser des cles multiples (Kl r K2..,) et 
des cles diversifiees (Ka5, Kb3) • La carte a debiter 
calcule un certificat a l'aide de la cl§ diversifiee 
(Ka5) que le terminal a crediter reconstitue. 

De telle mesures de security sont quasiment 

20 infaillibles. Toutefois elles ne permettent pas de se 
proteger contre des fraudes telles que le vol de lots 
de cartes en phase terminale de fabrication ou la 
fabrication de fausses "vraies" cartes. 

La presente invention a pour objet un proc§de de 

25 detection de fraude permettant de remedier cL ces 
inconvenients . 

Le degre supplementaire de securite apporte par le 
procede selon 1' invention repose sur une approche 
inhabituelle dans ce domaine particulier du paiement 

30 par cartes. 

En effet, le procede repose sur une approche 
statistique des phenomenes de consommation des 
differents terminaux de paiement. 
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La presente invention a plus particulierement pour 
ob jet un procede de detection de fraude dans le 
paiement par carte a pre-paiement comportant des unites 
a consommer, dans lequel un ou plusieurs terminaux de 
paiement sont en liaison avec un organe central de 
collecte d' information, ces terminaux etant 
susceptibles de debiter des unites correspondant au 
nombre d' unites consommees dans chaque carte effectuant 
une transaction, principalement caracterise en ce qu'il 
comprend les etapes suivantes: 

a) etablir un modele caract£risant les 
consommations pour au moins chaque type de terminal de 
consommation , 

b) chaque terminal de paiement est apte & effectuer 
des mesures de consommation sur des durees determines, 
comprenant : 

- la determination du volume d' unites consommees, 

- la determination du nombre de transactions 
ef fectuees, 

la determination de l'ecart type pour la 
distribution des consommations, 

c) a la fin de chaque duree determinee , chaque 
terminal de paiement est apte a transmettre ces mesures 
a 1' organe central 

d) 1' organe central compare les mesures reqrues des 
terminaux aux mode les etablis pour ces terminaux et, en 
fonction de criteres preetablis dfrtecte des anomalies. 

D'autres avantages et particularites de 1' invention 
apparaitront a la lecture de la description qui est 
faite a titre d'exemple non limitatif et en regard des 
dessins sur lesquels : 

- la figure 1, represente le schema de principe de 
1' invention, 
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- la figure 2, represente une courbe correspondant 
a un exemple de modele preetabli, 

- la figure 3, represente sous la forme d'un 
diagramme, les parametres permettant de definir des 

5 critdres de detection de fraude, 

- la figure 4, represente un exemple de procedure 
d'echange entre une carte et un terminal de paiement. 

La figure 1, il lustre les differentes etapes mises 
en oeuvre pour chaque element du syst&ne (CE,A,B) 

10 permettant selon 1' invention de detecter des anomalies 
de consommation. Ces anomalies permettent notamment de 
deceler des cas de fraudes telles que le vol de carte 
en phase finale de fabrication ou la fabrication de 
fausses cartes "porte-monnaie" electronique* 

15 Ainsi selon le procede, on realise au prealable 

differentes mesures soit aupres de chaque terminal soit 
aupres de chaque type different de terminal implantSs 
chez des commergants ou fournisseurs de services dans 
une zone geographique bien definie. 

20 Ces mesures consistent a relever period iquement le 

montant de chaque transaction c'est a dire le nombre 
d' unites consommees a chaque transaction et le nombre 
de transaction sur une duree donnee. 

A titre d' exemple ce releve peut-etre fait chaque 

25 jour pendant un mois. 

On peut a partir de 1' ensemble des points de mesure 
releves determiner une valeur mediane Tmd pour le 
montant des transactions et une valeur moyenne Tmy 
ainsi que l'ecart-type Em pour la distribution du 

30 montant des transactions (consommations individuelles) • 
On dispose ainsi de donnees permettant d'etablir un 
modele caracterisant chaque terminal. 
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Ces modeles de reference peuvent bien entendu etre 
revises et modifies tout au long de la vie du systdme 
pour tenir compte des evolutions observees sur les 
mesures. 

5 On a represents sur la figure 2, une courbe 

representant un exemple de modelisation obtenu pour un 
type de terminal donne. 

L'abscisse represente le montant des transactions, 
l'ordonnee represente le nombre de transactions. 

10 Les donnees des modeles de reference ainsi etablis 

sont enregistrees dans l'organe central de collecte 
d' information CE. 

Le procede consiste en outre pour chaque terminal B 
a mesurer sur des periodes de duree determinees : 

15 - le volume d' unites consommees (T) (c'est a dire 

le chiffre d' affaire c'est a dire encore le montant 
global de toutes les transactions ou operations) 
- le nombre N de transactions effectuees 
a determiner l'ecart-type E pour la distribution 

20 du montant des transactions (consommations 
individuelles) et a transmettre a la fin de chaque 
periode de duree determinee le volume d' unites 
consommees, le nombre de transactions et l'ecart-type 
ainsi obtenus. 

25 Le volume d' unites consomme est obtenu par comptage 

des unites consommees Ti lors d'une premiere 
transaction et incrementatoin du compteur a chaque 
transaction operee pendant la periode consideree. 

Le nombre N de transactions est egalement obtenu 

30 par incrementation d'un compteur de transactions. 

L'organe central qui r ego it ces informations de 
chaque terminal auquel il est relie peut alors proceder 
a des comparaisons avec les modeles de references 
prealablement enregistres. 
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Ainsi cet organe va comparer le volume de 
consommation T re?u avec le volume de consommation Tm 
du modele (qui correspond a la surface hachuree sur la 
figure 2) - 

5 La detection de fraude peut ensuite etre faite en 

fonction d'un ou de plusieurs criteres de selection 
definis dans la suite* 

Un premier critere consiste £ verifier que le 
montant moyen d'une transaction ne depasse pas le 

10 montant maximal autorise. 

Pour cela, 1' organe determine le montant moyen 
d'une transaction soit la valeur T/N (T &tant le 
montant total des consommations et N le nombre de 
transactions) et comparer ce montant au montant maximal 

15 pour une transaction autorisee (montant qui est bien 
connu puisqu'il correspond au montant moyen presume 
donne par 1' etude de comportement , c'est a dire par le 
modele) . 

Le deuxieme critere consiste ensuite, dans le cas 
20 ou le premier critere est rempli a verifier que le 
volume de transaction T est compatible avec 
l'intervalle de confiance que l'on s'est fixe au 
prealable. Cet interval le est defini, par exemple, par 
deux bornes Tmax et Tmin correspondant a une fourchette 
25 de tolerance de quelques pour cent autour de la valeur 
mediane du modele. 

L' organe verifie aussi que l'ecart-type E est 
compris dans l'intervalle de confiance sur l'ecart-type 
que l f on s'est fixe. Cet intervalle est defini par deux 
30 bornes Emin et Emax correspondant a une fourchette de 
tolerance de quelques pour cent autour de la valeur E. 

Ainsi c'est a partir d'un couple de donnees (volume 
de transactions - ecart-type ou nombre de transactions 
- ecart-type) que 1'on definit selon un mode pr§f6r6 de 
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realisation un critere de selection permettant de 
de teeter des anomalies. 

Lorsque les resultats de comparaison se situent 
dans la zone de confiance definie par les intervalles 

5 (Tmax, Tmin) et (Emax, Emin) aucune anomalie n'est 
detectee. En dehors de cette zone, les donnees se 
trouvent dans une premiere zone de suspicion (Tmax+d, 
Troin-d) et (Emax+e, Emin-e) eu dans une zone de forte 
suspicion. Dans ces cas, et plus particulidrement dans 

10 le cas de forte suspicion on a detects une anomalie 
dans les consommations par rapport au moddle* Un 
deplacement de la valeur mediane ou de la valeur 
moyenne par rapport aux valeur du module enregistrS 
peut signifier qu'il y a eu fabrication de fausses 

15 cartes ou "clonage" de carte. 

On peut alors decider d ' entr eprendre une remontee 
d' informations plus complete sur les consommations 
effectuees dans la periode consid£ree, afin de 
connaitre l'origine de cette anomalie. 

20 Dans les realisations pratiques effectuees, les 

informations de mesure qui remontent h l'organe 
central, sont transmises par les terminaux tous les 
jours en fin de jour nee par une procedure automat ique 
class ique. Chaque terminal ou chaque automate off-line 

25 possede a cette fin des moyens class ique s aptes a 
etablir une communication avec 1'organe central a 
travers un reseau de transmission. (Transpac entre- 
autre) . 

Selon un autre aspect de 1' invention, afin 
30 d' assurer la securite des echanges operes entre les 
cartes des utilisateurs et les terminaux et entre les 
terminaux et 1'organe central, on prevoit d'&quiper ces 
differents elements d'un module de securite connu sous 
1' appellation SAM. Un tel module permet d'authentif ier 
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les messages par une procedure telle que dfccrite dans 
1' article cite dans le preambule de la description ou 
par la procedure a cle diversifiee que l'on rappelle 
ci-dessous et qui est illustr£e sur la figure 4. 

5 On choisit au prealable dix cles Kl, K2,...,K10, ce 

nombre 10 6tant naturellement arbitraire et ne limitant 
pas le principe de la procedure. Une carte A est 
. reperee par une identite (a). Par une function de 
hachage de cette identite (a) et de chacune des cles 

10 Kl, K2...,K10 on obtient dix cles diversifies Kal, 
Ka2,.,., K10. 

De la meme maniere, le terminal B muni de son 
module SAM etant repere par une identity (b) , on 
constitue dix cles diversifiees Kbl, Kb2,,.., KblO. 

15 Par ailleurs, a 1' identite (a) correspond, par une 

fonction u donnee, un rang dans 1'ordre des cles. Dans 
l'exemple illustre u(a) est suppose egal a 3. Cela 
signifie que la carte A se voit affecter la cl£ K3. 

De la meme maniere, 1' identity (b) definit un rang 

20 u(b) qui, dans l'exemple illustr£, est suppose egal a 
5. Cela signifie que le terminal B se voit affecter la 
cle K5, 

Pour travailler avec le module du terminal B, dont 
le rang de la cle est 5, la carte A est pourvue de la 
25 cinquieme cle diversifiee propre a A soit Ka5. 

Pour travailler avec la carte A, dont le rang de la 
cle est 3, le terminal B est pourvu de la troisieme cle 
diversifiee propre a B, soit Kb3. 

Les echanges il lustres sur cette figure 4, sont les 
30 memes que ceux etablis entre le terminal et 1'organe 
central. Ainsi la remontee journalieres des donnees est 
faite en toute securite. 

De maniere plus generale, pour des transactions a 
effectuer avec d'autres terminaux que B, il faudrait 
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ecrire dans la carte A d'autres cles diversifiees Kal, 
Ka2, . . . . soit dix cles au maximum. 

De meme, dans le module du terminal B, ou, pour 
travailler avec d'autres cartes que A, il faudrait 
prevoir d'autres cles diversifiees Kbl, Kb2... soit dix 
cles au maximum 

Afin de realiser un debit de A au profit de B, la 
procedure se deroule alors de la fagon suivante - 

- la carte B transmet a la carte A sa demande avec 
le montant Ti, l'identite (b) , le nombre N; 

- la carte A utilise la cle diversifiee Ka5 pour 
calculer le certificat C; 

- la carte A transmet le certificat C a la carte B; 

- a partir de l'identite (a) de A et de la cle K5 
qu'elle possede, la carte B calcule Ka5 ce qui lui 
permet de decrypter le certificat C„ 
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REVENDICATIONS 

1. Procede de detection de fraude dans le paiement 
par carte a pre-paiement comportant des unites a 
consommer, dans lequel un ou plusieurs terminaux de 
paiement sont en liaison avec un organe central de 

5 collecte d' information, ces terminaux etant 
susceptibles de debiter des unites correspondant 
nombre d' unites consommees dans chaque carte effectuant 
une transaction, caracterise en ce qu'il comprend les 
etapes suivantes: 

10 a) etablir un modele caracterisant les 

consommations pour au moins chaque type de terminal de 
paiement, 

b) chaque terminal de paiement est apte a effectuer 
des mesures de consommation sur des durees determinees, 

15 comprenant : 

- la determination du volume d'unites consommees, 
la determination du nombre de transactions 
ef fectuees, 

la determinat ion de 1 ' ecart-type pour la 
20 distribution des consommations, 

c) a la fin de chaque duree determinee , chaque 
terminal de paiement est apte a transmettre ces mesures 
a 1' organe central, 

d) 1' organe central compare les mesures revues des 
25 terminaux aux modeles etablis pour ces terminaux et, en 

fonction de criteres preetablis detecte des anomalies 

2. Procede de paiement selon la revendication 1, 
caracterise en ce que la determination du volume 
d'unites consommees est realisee par comptage des 

30 unites consommees lors d'une premiere transaction et 
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incrementation de ce comptage a chaque transaction 
realisee sur toute la duree determinee. 

3. Procede de paiement selon la revendication 1, 
caracterise en ce que la determination du nombre de 

5 transactions effectuees est realisee par comptage d'une 
premiere transaction et incrementation de ce comptage a 
chaque transaction realisee sur toute la duree 
determinee . 

4. Procede de paiement selon l'une quelconque des 
10 revendications precedentes, caracterise en ce qu'il 

consiste a comparer le volume de consommation regu au 
volume maximal autorise et a refuser la transaction si 
ce volume est super ieur a la valeur maxima le. 

5. Procede de paiement selon l'une quelconque des 
15 revendications precedentes, caracterise en ce qu'il 

consiste a comparer le volume de consommation & la 
valeur du modele dans une plage de tolerance. 

6. Procede de paiement selon l'une quelconque des 
revendications precedentes, caracterise en ce qu'il 

20 consiste a comparer l'ecart-type a la valeur du modele 
dans une plage de tolerance. 
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